Teknik "localhost tracking" Meta terancam denda hingga 32 miliar euro (Rp47 triliun)

 (zeropartydata.es)
8 poin oleh GN⁺ 2025-06-11 | 5 komentar | Bagikan ke WhatsApp
  • Meta mengembangkan sarana pelacakan yang melewati sandbox Android (“localhost tracking”) untuk menghubungkan identitas nyata pengguna dan aktivitas penelusuran web tanpa terpengaruh VPN, mode incognito, atau penghapusan cookie
  • Teknik ini membuat aplikasi Meta (di latar belakang) dan skrip Meta Pixel di browser saling bertukar informasi melalui port jaringan lokal, sehingga cookie _fbp pengguna dapat dikaitkan ke akun meski tanpa login
  • Dengan teknik ini, perilaku penelusuran web dihubungkan dengan akun Facebook/Instagram nyata, sehingga integrasi data pribadi dalam skala besar terjadi tanpa persetujuan pengguna
  • Karena diduga melanggar GDPR, DSA, DMA dan undang-undang perlindungan data utama di Eropa secara bersamaan, sanksi dapat diterapkan secara kumulatif dan berpotensi mencapai denda maksimum 32 miliar euro (sekitar 4%, 6%, 10% dari pendapatan)
  • Selama lebih dari 9 bulan, pelacakan berskala besar berlangsung tanpa persetujuan pengguna di 22% situs web utama dunia (termasuk lebih dari 17 ribu situs di AS), dan data pribadi ratusan juta orang dikumpulkan serta dihubungkan tanpa “penjelasan eksplisit”
  • Karena ada indikasi jelas pelanggaran berulang, penyalahgunaan dominasi pasar, dan niat menghindari pembatasan teknis, bahkan dibahas kemungkinan dijatuhkannya hukuman kumulatif terbesar pertama dalam sejarah
  • Hanya sebagian pengguna seperti pengguna iOS, PC, atau mereka yang tidak memasang aplikasi yang tidak terdampak

Teknologi "localhost tracking" Meta

  • Meta menggunakan teknik “localhost tracking” yang inovatif namun kontroversial untuk melewati perlindungan identifikasi sumber daya pengguna yang sengaja diblokir oleh sistem sandbox Android
  • Aplikasi Facebook/Instagram tetap membuka port TCP/UDP tertentu di ponsel dalam keadaan listening di latar belakang (wajib login)
  • Saat pengguna mengakses situs web dari browser di perangkat yang sama (misalnya berita, toko online), jika situs tersebut memasang Meta Pixel, cookie dan informasi aktivitas segera dikumpulkan
    • Tidak berpengaruh meski menggunakan VPN, mode incognito, penghapusan cookie, atau sarana perlindungan privasi lain
  • Skrip Meta Pixel di browser memanfaatkan WebRTC (awalnya untuk komunikasi video/suara) dan trik bernama SDP Munging untuk mengirim cookie _fbp langsung ke aplikasi
  • Pada saat yang sama, informasi yang sama juga dikirim terpisah ke server Meta, sehingga pelacakan terhubung dua arah online dan offline dimungkinkan
  • Aplikasi Facebook/Instagram menerima nilai _fbp lalu mengirimkannya lagi ke server Meta GraphQL bersama pengenal unik akun
    • Akibatnya, ID kunjungan browser web dan akun pengguna Facebook/Instagram nyata dipetakan 1:1 antara aktivitas kunjungan web dan identitas nyata, sehingga terikat sangat kuat

Mengapa masalah ini serius

  • Secara licik melewati pembatasan listening port lokal/komunikasi tersembunyi antar-aplikasi yang dilarang dalam desain Android
  • Meski pengguna tidak membuka aplikasi, tidak login di browser web, atau memakai VPN, mode incognito, maupun menghapus cookie, sarana pertahanan tetap tidak berguna
  • Informasi dikumpulkan dan dihubungkan tanpa persetujuan awal yang jelas dan memadai sebagaimana diwajibkan oleh regulasi privasi seperti GDPR
  • 22% situs Top dunia terdampak, dan selama 9 bulan (Meta)/8 tahun (Yandex), miliaran orang dilacak tanpa persetujuan
  • Informasi yang dikumpulkan dan digabungkan: seluruh riwayat penelusuran, keranjang belanja dan riwayat pembelian, pengisian formulir situs web, pola perilaku berdasarkan waktu, koneksi ke akun nama asli, dan lain-lain
  • Pengecualian hanya untuk pengguna iOS dan PC, pengguna tanpa aplikasi terpasang, atau yang hanya memakai browser Brave/DuckDuckGo

Pokok pelanggaran hukum utama

  • GDPR: pemrosesan data pribadi untuk iklan memerlukan persetujuan, serta diduga melanggar kewajiban minimisasi data/desain privasi (hingga 4% dari pendapatan)
  • DSA (Pasal 26): melarang iklan bertarget berbasis informasi sensitif dari profil (preferensi, pandangan politik, kesehatan, dll.) (hingga 10% dari pendapatan)
  • DMA (Pasal 5.2): melarang penggabungan data pribadi antar platform inti tanpa persetujuan eksplisit (hingga 10%, 20% jika berulang)
    • Untuk penautan akun, setidaknya diperlukan tiga persetujuan (GDPR, ePrivacy, DMA), tetapi hanya satu yang diminta (alternatif paksa "Pay or OK")
    • Sudah ada contoh denda 200 juta euro pada April 2025 terkait pelanggaran DMA

Prospek denda dan sanksi

  • GDPR, DMA, dan DSA masing-masing memiliki kepentingan hukum dan sistem hukuman terpisah, sehingga penghitungan denda kumulatif dimungkinkan
  • Denda maksimum secara teoritis adalah 32 miliar euro. Mengingat riwayat pelanggaran berulang Meta, kurangnya kerja sama terhadap regulator, dominasi pasar, dan indikasi penghindaran yang disengaja, ada kemungkinan muncul preseden hukuman berat

Kesimpulan

  • Teknik “localhost tracking” Meta merupakan contoh representatif dari upaya sengaja melewati standar teknis dan hukum perlindungan privasi secara berniat buruk, dengan dampak dan tingkat keparahan yang sangat luas secara global.
  • Dengan mempertimbangkan dugaan pelanggaran simultan atas GDPR/DSA/DMA, dominasi pasar, dan catatan pelanggaran berulang, kemungkinan denda kumulatif pada tingkat terbesar dalam sejarah benar-benar dijatuhkan tetap ada
  • Perhatian global tertuju pada apakah regulator akan untuk pertama kalinya menjatuhkan denda kumulatif GDPR·DSA·DMA (hingga 32 miliar euro)

Bacaan terkait

5 komentar

 
luiseok 2025-06-11

Saya tidak tahu bagaimana mereka akan dimintai pertanggungjawaban secara internal, terutama para administrator tingkat manajer yang telah menyetujuinya.
 
kimjoin2 2025-06-11

Saya jadi penasaran apakah iOS aman ya..
 
brainer 2025-06-11

Q: Apakah iOS/platform lain juga terdampak?
A: Sejauh ini baru terkonfirmasi di Android, tetapi secara teknis iOS/desktop/smart TV dan lainnya juga berpotensi berisiko
 
GN⁺ 2025-06-11
Komentar Hacker News

  • Dibagikan kumpulan tautan yang mengompilasi topik terkait yang sebelumnya pernah dibahas, yakni isu pelacakan web-ke-aplikasi serta masalah privasi Meta dan Yandex. Disebutkan topik-topik seperti: tips privasi dari Washington Post (berhenti memakai Chrome, hapus aplikasi Meta dan Yandex), Meta diam-diam melacak pengguna Android melalui Instagram dan Facebook, penghentian teknologi pelacakan port mobile di Android setelah protes peneliti, serta kebocoran data pelacakan melalui WebRTC oleh Yandex dan Meta

  • Mengingat kembali kejadian pada 2014 ketika aplikasi Twitter di Android mulai mengirim daftar semua aplikasi yang terpasang di perangkat ke server Twitter. Sejak itu, untuk layanan yang bisa dipakai lewat browser, lebih memilih versi web daripada aplikasi native. Karena tidak memakai Facebook atau Instagram, tidak tahu bagaimana cara kerjanya belakangan ini. Saat itu juga merasakan bagaimana Facebook Messenger sengaja dibatasi fiturnya di lingkungan browser. Selama 10 tahun terakhir, aplikasi native terus meminta banyak izin, dan pengguna menekan setuju tanpa banyak pikir. Dipertanyakan mengapa Facebook perlu melihat informasi Wi‑Fi atau Bluetooth saya. Ada juga kasus pelacakan orang di toko offline dengan beacon
    https://en.wikipedia.org/wiki/Facebook_Bluetooth_Beacon . Yang disayangkan, aplikasi native memang jauh lebih nyaman dan punya performa lebih baik daripada aplikasi web

    • Dibagikan pengalaman bahwa Facebook Messenger sengaja dibuat tidak nyaman di browser. Pernah memakai Messenger Lite juga, tetapi akhirnya layanan itu dihentikan. Karena acara dan kontak, masih harus terus memakai Facebook, tetapi aplikasi Messenger sama sekali tidak pernah dipasang, sehingga terpaksa memakainya dalam mode desktop dengan segala kerepotannya. Feed sekarang penuh dengan "Direkomendasikan untuk Anda", jadi tidak lagi bikin kecanduan seperti dulu. Tidak paham mengapa mereka seolah ingin mengusir penggunanya, tetapi memang terasa seperti itu

    • Disebutkan bahwa selama beberapa tahun terakhir aplikasi web sendiri sangat dihambat. Separuh waktunya diganggu popup "instal aplikasinya", sisanya malah tidak berjalan sama sekali. Yang lebih mengecewakan, banyak aplikasi native zaman sekarang pada dasarnya hanyalah webview, bahkan tidak memakai UI native. Kalau pada praktiknya tidak beda dengan Safari, biarkan saja saya memakai Safari

    • Dulu terasa seperti sikap yang berlebihan, tetapi tetap bersikeras hanya memakai versi browser, dan sampai sekarang tidak menyesal. Ini juga membantu lepas dari distraksi seperti notifikasi. Seandainya Apple atau Google benar-benar serius soal privasi, hasilnya mungkin berbeda. Jika sebuah aplikasi tidak ada di F-Droid, ya tunggu saja

    • Pelacakan aplikasi seperti ini sampai sekarang masih sepenuhnya legal. Semua aplikasi bisa memindai daftar aplikasi yang terpasang saat ini dan aplikasi yang baru dijalankan “untuk tujuan keamanan”. Hal yang sama berlaku untuk kontak. WhatsApp (satu-satunya produk Meta yang saya pakai dan saya kelola) memeriksa informasi kontak dalam interval yang sangat singkat, lalu jika ada perubahan hanya selisihnya saja yang diunggah ke server. Inti kontroversi kali ini adalah bahwa Meta mengakali pencocokan pengguna dari web tanpa membayar biaya “cookie matching” ke Google

  • Untuk sistem kali ini, ada jejak bahwa para engineer Meta membuat commit kode, dan product manager memproses permintaan lewat tiket. Muncul argumen bahwa sebagaimana Facebook dikenai denda sebagai persentase dari pendapatan, para pelakunya juga harus dimintai tanggung jawab pribadi sebesar persentase tertentu dari gaji mereka

    • Ditekankan bahwa orang yang benar-benar harus bertanggung jawab adalah para manajer yang mengizinkan sistem seperti ini

    • Setuju dengan idenya, tetapi tidak benar jika arahnya hanya membuat pegawai level bawah bertanggung jawab sementara atasan dibebaskan. Tanggung jawab harus naik ke atas

    • Kisah ini mengingatkan pada kutipan terkenal dari CS Lewis. Meta sebagai perusahaan besar diibaratkan sebagai contoh modern dari gagasan bahwa “kejahatan terburuk direncanakan oleh orang-orang berjas di kantor yang bersih dan tenang”

    • Diakui bahwa ini jelas bermasalah secara etis, tetapi ada engineer yang akan membangun apa pun asal dibayar. Kalau bukan mereka, orang lain yang akan melakukannya, dan kadang hal seperti ini terasa menarik karena menantang secara teknis. Pada akhirnya, yang harus dimintai pertanggungjawaban adalah para manajer atau pihak atas yang menyediakan dana, yaitu orang-orang seperti Zuck yang menikmati uang dan manfaatnya; ikuti aliran uangnya

    • Muncul pertanyaan apakah EU benar-benar bisa menjatuhkan denda kepada engineer warga AS yang tinggal di AS

  • Kalau Meta melakukan hal seperti ini, rasanya tidak mengejutkan. Dulu pada awal 2010-an mereka memantau trafik HTTPS di iOS App Store untuk lebih dulu mengetahui aplikasi populer, dan dari sana bisa memutuskan akuisisi seperti WhatsApp atau Instagram. Dalam situasi sekarang, taruhan besar Zuckerberg tampaknya adalah berharap Meta tetap bertahan sampai platform berikutnya (AR, VR) datang. Jika Meta berhasil menguasai platform baru, mereka tak perlu lagi menaati regulasi yang masuk akal dan bisa bebas menjulurkan tentakel internet mesin iklannya. Ini memang tidak diinginkan, tetapi secara realistis tampaknya mereka cukup mungkin berhasil

    • Perusahaan-perusahaan sangat ingin AR/VR menjadi platform generasi berikutnya, tetapi selain segelintir penggemar game, diragukan apakah masyarakat umum benar-benar menginginkannya. Ada skeptisisme bahwa daya tahannya tak akan lebih lama dari kacamata 3D di bioskop

    • Pada masa pemantauan aplikasi iOS dulu, pengguna harus memasang VPN yang didistribusikan dengan sertifikat enterprise secara manual, jadi bukan sesuatu yang ada di App Store. Pengguna harus melewati beberapa peringatan iOS yang menakutkan untuk memasangnya, tetapi ternyata banyak orang tetap ikut hanya demi voucher kecil

    • Meta bisa terus mengulangi hal seperti ini karena hukuman yang dijatuhkan selama ini tidak cukup untuk menghentikan pelanggar berulang

    • Platform VR Meta, Quest, telah terjual sekitar 20 juta unit kumulatif, tetapi bagi perusahaan yang membutuhkan basis pengguna besar seperti Facebook, angka itu masih jauh dari cukup. Bahkan produk yang paling laku seperti Quest 2 (14 juta unit) sudah dihentikan 9 bulan lalu. Ini tampaknya masih jauh dari pertumbuhan eksplosif

  • Terlintas pikiran bahwa engineer yang mengimplementasikan sistem seperti ini mungkin saja salah satu dari kita di Hacker News. Rasanya Zuck sendiri bukan yang menulisnya

    • Di sini (Hacker News), ketika engineer diminta memikirkan sisi etis dari pekerjaannya, sering muncul bantahan seperti “saya cuma ingin membuat teknologi keren, saya tidak peduli perusahaan memakainya untuk apa”. Ada juga sikap sinis seperti “saya cuma code monkey; kalau manajer menyuruh saya membangun Torment Nexus, ya saya bangun saja”

    • Ada lelucon bahwa alasan Meta butuh AI untuk mengimplementasikan hal seperti ini adalah karena AI tidak akan menolak

  • Terlihat ada dua masalah. Pertama, Android memungkinkan aplikasi membuka port tanpa izin terpisah. Dan aplikasi juga bisa saling berkomunikasi tanpa izin tambahan. Kedua, browser mengizinkan layanan localhost diakses dari domain mana pun. Dulu juga pernah ada masalah keamanan karena layanan developer yang berjalan di localhost bisa diakses. Tampaknya ada sesuatu yang perlu diperbaiki

    • Jika dipisahkan lebih tajam, masalahnya ada dua: pertama, aplikasi apa pun bisa listen pada port tanpa izin terpisah; kedua, aplikasi apa pun bisa mengakses port lokal tanpa izin terpisah. Saya pribadi pernah bereksperimen menaruh browser desktop dalam network namespace karena alasan seperti ini. Menurut saya, situs web seharusnya tidak bisa sembarangan mengakses layanan localhost saya

    • Dua isu teknis itu memang benar, tetapi meskipun begitu, Facebook tetap tidak seharusnya melakukan hal seperti ini

    • Agar aplikasi Android bisa membuka port, dibutuhkan izin android.permission.INTERNET. Izin ini pada dasarnya diberikan otomatis saat instalasi, dan ada versi seperti GrapheneOS yang memungkinkan pemblokiran terpisah. Setahu saya, saat ini belum ada kontrol yang lebih rinci seperti “hanya izinkan komunikasi internal”

    • Ada juga usulan untuk membatasi agar situs tidak bisa mengakses jaringan lokal pengguna tanpa izin khusus
      https://github.com/explainers-by-googlers/local-network-access

  • Jika aplikasi Facebook atau Instagram terpasang di ponsel Android, pengguna sedang login ke akun, dan tidak mengaktifkan pengaturan khusus untuk memblokir hal seperti tracking pixel, maka bisa terdampak oleh kasus ini. Bagian yang mampu menembus VPN atau mode penyamaran tampak sebagai masalah yang sangat serius. Banyak orang salah mengira mode-mode itu menjaga privasi sepenuhnya, padahal efek nyatanya lebih mirip membuat Anda tampak datang dari sesi baru atau lokasi lain

    • Dari sudut pandang pengguna biasa, wajar menganggap VPN dan private browsing sudah cukup. Fakta bahwa browser diam-diam berkomunikasi dengan aplikasi di ponsel saya lalu mengaitkan semua perilaku itu ke akun saya terasa kelewatan

    • Pelacakan bisa jadi makin buruk ketika aplikasi Facebook atau Instagram benar-benar dibiarkan di background. Sebagian pengguna sangat membenci aplikasi yang berjalan di background, jadi setiap kali selesai dipakai langsung ditutup paksa

  • Ditunjukkan bahwa masalah sebenarnya ada pada WebRTC. WebRTC seharusnya nonaktif secara default, atau setidaknya berada di balik dialog permintaan izin. Tentu saja, Facebook akan meminta aktivasi WebRTC dengan alasan fitur seperti chat, dan pada akhirnya 99% pengguna akan menyetujuinya

  • Sulit dipahami mengapa Meta merasa perlu sampai melakukan ini. Mereka sudah punya teknik pelacakan seperti fingerprinting, jadi rasanya tidak perlu mengambil risiko tambahan. Mungkin teknik ini dipakai sebagai kelompok uji untuk melihat apakah teknik pelacakan lain bekerja dengan baik, atau sebagai cadangan agar saat salah satu metode pelacakan terungkap atau ditambal, mereka bisa langsung beralih ke teknik lain. Tetap memakai cara yang begitu mudah ketahuan seperti ini benar-benar terlihat bodoh

    • Perilaku seperti ini muncul karena perusahaan dijalankan dengan pola pikir sosiopat. Saat sesuatu dikatakan “tidak boleh”, itu justru dianggap sebagai tantangan, lalu mereka berusaha keras melakukannya tanpa ketahuan

  • Disebutkan bahwa penjelasan “skrip Meta Pixel mengirim cookie _fbp ke aplikasi native Instagram atau Facebook melalui WebRTC (STUN) SDP Munging” adalah peretasan yang benar-benar gila

    • Dipertanyakan bagaimana cara seperti ini bisa mendapat persetujuan